はじめに
Apex One の初期設定では、すべてのコンピュータが Web 管理コンソールのサイトにアクセスすることが可能です。
セキュリティ強化を目的として Internet Information Services (IIS) マネージャで IIS の設定を変更することで、サーバーのログまたはWebサイトのアクティビティに基づいて任意の IP アドレスからのアクセスを許可/拒否する手順をご案内いたします。
制限事項:
- ・この手法でIPアドレスへ制限を実施した場合、Apex Oneの「不信オブジェクトリスト」や「サンプル送信」の機能において、サーバーとエージェント間の設定同期やサンプルのアップロードが正常に行われなくなります。
- ・IISは Microsoft社の製品です。弊社では、IISの設定の詳細についてはお答えできないことがございますので、設定の詳細につきましては Microsoft社への問い合わせをご検討お願いいたします
事前準備
サーバ側で「役割と機能の追加」よりサーバの役割として、 [IP およびドメインの制限] を追加します。
例:
Windows Server 2012R2 では、
[スタート] > [サーバー マネージャー] にて [管理] > [役割と機能の追加] から [Web サーバー (IIS)] > [Web サーバー] > [セキュリティ] > [IP およびドメインの制限] を選択し、ウィンドウの指示に従いインストールすることで追加が可能です。
操作手順
- Apex One サーバーがインストールされたマシンにて Internet Information Services (IIS) マネージャを起動します。
- [<サーバ名>] > [サイト] > [OfficeScan] >[officescan] > [console] を選択します。
- IISの「IP アドレスとおよびドメインの制限」をダブルクリックします。
- すべてのアクセスを拒否するために、「機能の設定の編集」を選択して、特定できないクライアントのアクセスを「拒否」に設定します。
- 右上にある「許可エントリ」の追加をクリックします。
- 許可をしたいIPアドレスとIPアドレスの範囲を追加します。
IPアドレス登録の際には以下の点にご注意ください。
- 1. 許可をする端末のIPv4とIPv6の両方のIPアドレスを追加する必要がございます。
許可すべきIPv6 が分からない場合には、次の「許可すべきIPアドレスの確認方法」のセクションを参照してください。 - 2. 下記の端末を最低限許可する必要がございます。
- システム管理者の端末
- Apex One Server
- Apex Central Server
- Apex One Edge Server
- 3. Apex One内の通信を保証するためにローカルホストのIPを許可します。一般的に、以下がデフォルトのローカルIPアドレスです。
- IPv4 127.0.0.1
- IPv6 ::1
- 4. 必要なIPアドレスを追加した後にログアウトした場合で、その後ログインが正常に行われないときには、ブラウザのキャッシュを削除してください。
- 5. 「ドメイン名の制限の有効化」の設定は、DNS 逆引き参照が必要になることから、サーバーパフォーマンスに重大な影響があるため推奨されていません。
- 1. 許可をする端末のIPv4とIPv6の両方のIPアドレスを追加する必要がございます。
- 正しく入力された場合、入力したIPが下記のように表示されます。
許可すべきIPアドレスの確認方法
ここでは、IISログを用いて実際にブロックされたIPアドレスを確認することで、許可すべきIPアドレスを確認する手順を記載します。- 「操作手順4」で設定した制限の設定において、「拒否アクションの種類」が「許可されていません」になっていることを確認します。
- [<サーバ名>] > [サイト] > [OfficeScan] の「ログ記録」を選択して、IIS ログの出力先を確認します。
- 実際に管理コンソールへのアクセスを行った後、IIS ログを開き 「403」 エラーが表示されているログを確認して、対象のIPv6 アドレスを確認します。
- 取得したIPv6アドレスが、期待した端末のものであることを再度確認したうえで、許可すべきIPアドレスとして登録をおこなってください。